Sicherheitsaspekte in der mobilen Welt gewinnen immer mehr an Bedeutung. Smartphones und andere mobile Endgeräte stellen für viele Menschen den Mittelpunkt ihres Lebens dar und in Folge dessen befinden sich auf mobilen Geräten, wie Smartphones, immer mehr sensible und höchst persönliche Daten, diese müssen um jeden Preis geschützt werden. Dies ist Grund genug für viele Hersteller ein besonderes Augenmerk auf die Entwicklung der bestmöglichen Technologien und Methoden zum Schutz der Daten ihrer Kunden zu legen. Im Rahmen dieser Arbeit werden mögliche Arten persönliche Daten zu schützen thematisiert, ebenso wie diverse Authentifikationsmethoden für den besseren Schutz von Daten. In weiterer Folge ist auch ein Überblick von potentiellen zukünftigen Technologien im Bereich des Datenschutzes und der zunehmenden Bedeutung von Datenschutz Teil dieser Arbeit.
Inhaltsverzeichnis
1. Abstract
2. Research Paper Description
2.1. Problemstellung
2.2. Zielvorstellung
2.3. Forschungsfragen
2.4. Ziele des Research Projektes
2.5. Methode
3. Bedeutung des Schutzes von Daten auf mobilen Endgeräten
3.1. Entwicklungen im Laufe der Zeit
3.2. Bedeutung von Datenschutz und Einflussfaktoren
3.3. Aktuelle Schutzmaßnahmen für Daten auf mobilen Endgeräten
4. Heutige Technologien zum Schutz von Daten
4.1. Authentifikationstechnologien
4.2. Verschlüsselungstechnologien
4.2.1. Verschlüsselung unter Android von Google
4.2.2. Verschlüsselung unter iOS
4.3. Vergleich von Technologien anhand aktueller Smartphones
5. Zukunft von Datenschutz und Sicherheitsaspekten
5.1. Technologien
5.2. Umgang mit Authentifikation und Datenschutz
5.3. Zukünftige Bedeutung von Datenschutz auf mobilen Endgeräten
6. Diskussion
7. Zusammenfassung
8. Literaturverzeichnis
9. Appendix
Abbildungsverzeichnis
Abbildung I - Zeitleiste zur Entwicklung des Bewusstseins für Datenschutz (Al-Hadadi & Shidhani, 2013)
Abbildung II - Adaptierte Version des Gefahren Modells von Altuwaijri und Ghouzali (2018)
Abbildung III - Pin Eingabe unter iOS (Apple Inc., 2018b)
Abbildung IV - Grafische Authentikation unter Android (Marcel, 2013)
Abbildung V – Slide-To-Unlock unter iOS (Clover, 2013)
Abbildung VI - Adaptierte Darstellung von Wegen zur menschlichen Authentifikation von Gupta, Buriro, und Crispo (2018)
Abbildung VII - Adaptierte Darstellung von biometrischen Eigenschaften zur Authentifikation von Gupta et al. (2018)
Abbildung VIII - Eigene Darstellung der Verschiedenen Authentikationstypen nach Gupta et al. (2018)
Abbildung IX - iPhone Xs von Apple Inc. (2018b)
Abbildung X - Galaxy S9 von Samsung (2018)
Abbildung XI - Mate 20 Pro von Huawei (2018)
Abbildung XII - Pixel 3 XL von Google Inc. (2018)
Tabellenverzeichnis
Tabelle I - Vergleich von Sicherheitsaspekten und Authentifikation in Smartphones
Tabelle II - Wahrscheinlichkeiten für Umgehung der Authentifikation von Guinness (2018)
Tabelle III - Detailbeschreibung des Gefahrenmodells nach Altuwaijri und Ghouzali (2018)
Tabelle IV - Detailbeschreibung der verschiedenen Authentifikationstypen nach Gupta et al. (2018)
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1. Abstract
Sicherheitsaspekte in der mobilen Welt gewinnen immer mehr an Bedeutung. Smartphones und andere mobile Endgeräte stellen für viele Menschen den Mittelpunkt ihres Lebens dar und in Folge dessen befinden sich auf mobilen Geräten, wie Smartphones, immer mehr sensible und höchst persönliche Daten, diese müssen um jeden Preis geschützt werden. Dies ist Grund genug für viele Hersteller ein besonderes Augenmerk auf die Entwicklung der bestmöglichen Tech- nologien und Methoden zum Schutz der Daten ihrer Kunden zu legen. Im Rahmen dieser Arbeit werden mögliche Arten persönliche Daten zu schützen thematisiert, ebenso wie diverse Au- thentifikationsmethoden für den besseren Schutz von Daten. In weiterer Folge ist auch ein Überblick von potentiellen zukünftigen Technologien im Bereich des Datenschutzes und der zunehmenden Bedeutung von Datenschutz Teil dieser Arbeit.
2. Research Paper Description
2.1. Problemstellung
Jüngste Ereignisse im Bereich des Datenschutzes, z.B. Datenskandale großer Internetfirmen oder Ermittlungen von US Bundesbehörden (Kremp, 2015), führen den Menschen immer mehr zu Gemüte, dass Datenschutz eine besondere Rolle in ihrem Leben spielen sollte. Datenschutz ist aber nicht zwangsläufig mit der Sicherheit im Internet gleichzusetzen. Die Problematik mit dem Schutz des persönlichen Umfelds, persönliche und sensible Daten, werden oftmals ver- nachlässigt und ihnen wird keine so hohe Priorität beigemessen, wie anderen Datensätzen im privaten Leben.
2.2. Zielvorstellung
Die Zielvorstellung dieser Arbeit sollte es sein einen groben Überblick über die Entwicklung von Datenschutzmaßnahmen im Smartphone Bereich zu geben, ebenso einen Ausblick in dieser Branche zu gewähren. Im Fokus sollen hierbei Methoden zum Datenschutz und Authentifika- tion stehen.
2.3. Forschungsfragen
Das Ziel im Rahmen dieser Arbeit ist es die folgenden Forschungsfragen zu beantworten:
- Wie werden persönliche Daten auf Smartphones heute geschützt und welche Faktoren beeinflussen das Bewusstsein für Datenschutz?
- Welche Technologien ermöglichen einen umfassenden Schutz für sensible und persön- liche Daten und wie zuverlässig bzw. sicher sind diese? Research Paper Description
- In welche Richtung wird sich der Schutz von Daten auf Smartphones entwickeln? Wie wird in Zukunft mit dem Thema der Authentifizierung umgegangen?
2.4. Ziele des Research Projektes
Eines der Hauptziele dieser Arbeit ist es die Bedeutung des Datenschutzes auf Smartphones darzustellen, weiters soll auch ein Überblick über verschiedenste Arten des Datenschutzes auf Smartphones gegeben werden. Ein weiteres Ziel ist es einen umfassenden Ausblick über die Zukunft des Datenschutzes im Bereich Technologie und Bedeutung zu geben.
2.5. Methode
Bei dieser Arbeit handelt es sich um eine umfassende Literaturarbeit, welche zum größten Teil auf wissenschaftlichen Artikeln basiert. Als Basis für diese Arbeit dient ein Literature Review. Das Vorgehen ist wie folgt:
Die Auswahl der Artikel findet mittels Screenings der Abstracts und Inhaltsübersichten statt, jene mit besonderer Bedeutung für die Arbeit kommen in die Auswahl. Für dieses Screening werden unterschiedliche Arten der Suchwortkombinationen verwendet. Gesucht wird in unter- schiedlichen Datenbanken immer mit den gleichen Suchwortkombinationen (WU Katalog Plus, IEEE, WISO, etc.)
In einem weiteren Schritt werden die ausgewählten Artikel entsprechend ihren Themen geclus- tert, sprich es gibt Cluster mit den folgenden Inhalten:
- Aktuelle Bedeutung und Rolle von Datenschutz
- Technologien
- Zukünftiges und Ausblick auf die Branche
Der Nächste Schritt besteht aus einem genauen untersuchen der einzelnen Artikel und Struktur in die Themencluster zu bringen. Ziel dieses Vorgehens ist es einen genauen Überblick über die Informationen der einzelnen Artikel zu bekommen, um diese anschließend in den einzelnen Kapiteln der Arbeit verarbeiten zu können.
Ein weiterer Aspekt der Arbeit ist es die beschriebenen Technologien anhand von Beispielen zu veranschaulichen. Informationen für diese Produkte bzw. Services werden auf Basis einer Internetrecherche über diverse Herstellerseiten und Erfahrungsberichte von Usern bezogen. Ziel des Heranziehens von Beispielen ist der Vergleich der Geräte und Technologien. Beson- deres Augenmerk wird hier vor allem hinsichtlich Schutzes und Zuverlässigkeit der zum Ein- satz kommenden Technologien gelegt.
3. Bedeutung des Schutzes von Daten auf mobilen Endgeräten
Der Schutz von Daten spielt im Alltag der Menschen eine immer größere Rolle, die wachsende Bedeutung von Datenschutz wird in den folgenden Abschnitten dieses Kapitels anhand der Ent- wicklung, Einflussfaktoren und aktuellen Schutzmaßnahmen verdeutlicht.
3.1. Entwicklungen im Laufe der Zeit
Das Thema Datenschutz hat sich vor allem mit der stetigen Weiterentwicklung von Mobiltele- fonen in der Gesellschaft verankert. Die ersten Mobiltelefone kamen in den 1940ern in den USA zum Einsatz. Bei diesen Geräten handelte es sich um teure Luxusgüter, welche nicht für die breite Masse der damaligen Gesellschaft gedacht waren. Die Verbreitung der Geräte war so gering, dass auch Datenschutz keine Rolle für damalige User spielte. In den 70er Jahren des 20. Jahrhunderts folgte dann die erste Generation des Mobilfunks (1G). In späteren Jahren wurden die Standards rasant verbessert und ermöglichten so das Senden und Empfangen von Daten über die Mobilfunknetze (z.B. Internetdienste am Handy), User können mittels fortschrittlichs- ter Technologien Geschwindigkeiten von bis zu 100Mbits erreichen. Aktuell ist die Netzabde- ckung nahezu weltweit mittels LTE1 gewährleistet, doch die nächste Generation (5G2 ) befindet sich bereits in den Startlöchern und es wird bald mit dem großflächigen Ausbau beginnen, damit das Netz beginnend ab 2020 für die Bevölkerung verfügbar sein wird. Die Rolle von Daten- schutz hat sich in den Jahren jedoch sehr stark gewandelt, von nicht existent in den 40er Jahren bis hin zu sehr etabliert in der aktuellen Generation, dies alles kann vor allem auf die Tatsache der globalen Vernetzung zurückgeführt werden. Die Mobilfunknetze werden immer schneller und leistungsstärker, sodass immer mehr Funktionen von diesen bewältigt werden können und somit auch immer größere Mengen an Daten anfallen werden, diese müssen vor Missbrauch oder falscher Verwendung geschützt werden (Al-Hadadi & Shidhani, 2013).
Abbildung in dieser Leseprobe nicht enthalten
Abbildung I - Zeitleiste zur Entwicklung des Bewusstseins für Datenschutz (Al-Hadadi & Shidhani, 2013)
Die Augen der gesamten Tech-Welt richten sich jedes Jahr im Februar auf Barcelona, wenn am Mobile World Congress die Zukunft im Mobile Sector vorgestellt wird, die vorgestellte Palette umfasst das ganze Repertoire der Mobilfunkindustrie (von Smartphones bis hin zu Wearables). Der MWC ist das Zentrum für die neuesten Technologien und Produkte, seit 2012 ist der Kon- gress auch zur bedeutenden Bühne für die Präsentation neuer Technologien zum Schutz von Daten aufgestiegen (Goth, 2012).
Die Beachtung des Schutzes der eigenen Daten kam vor allem durch die weltweite Vernetzung immer mehr ins Rampenlicht, um dadurch letzten Endes auch die mobilen Endgeräte zu errei- chen und nachhaltig zu verändern. Tatkräftige Unterstützung leisten in der heutigen Zeit vor allem Hersteller von Smartphones und anderen mobilen Geräten (Kusyanti & Prastanti, 2017).
3.2. Bedeutung von Datenschutz und Einflussfaktoren
Mobile Endgeräte, allen voran Smartphones sind zu einem fixen und essentiellen Bestandteil unseres täglichen Lebens geworden, ebenso wie die Bedeutung vom Schutz der persönlichsten Daten auf den ständigen Begleitern (Temper, Tjoa, & Kaiser, 2016). Lange Zeit herrschte die Meinung, dass sich User nicht um die Sicherheit ihrer Daten kümmern würden, doch 2012 hat Goth mit einer Studie das genaue Gegenteil bewiesen. Goth zufolge steigt das Bewusstsein für Datenschutz in der Bevölkerung rasant an, es ist den Menschen nicht mehr länger gleichgültig was mit ihren sensiblen und höchst persönlichen Daten auf ihren Geräten passiert.
Die Bedeutung von Datenschutz reicht von physischem bis hin zu digitalem Schutz. Szenarien könnten Beispielsweise der physische Verlust eines Gerätes sein, aber auch Malware, Viren oder Würmer (Kusyanti & Prastanti, 2017).
Das Bewusstsein für Datenschutz kann anhand von diversen Modellen und Einflussfaktoren beschrieben werden. Al-Hadadi und Shidhani (2013) haben im Verlauf ihrer Studien die fol- genden Faktoren und Indizes identifizieren und bestimmen können:
- User Trust Factor: Dieser Faktor beschreibt das Verhalten der Daten, die abgelegt wer- den, laut Al-Hadadi und Shidhani (2013) legen rund die Hälfte aller Nutzer sehr sensible Daten (Fotos, Texte, etc.) auf ihren Smartphones ab.
- User Familiarity: Dieser Index beschreibt das Vorgehen in Fällen von Updates und sonstigen Sicherheitsfragen. Die Umfragen von Al-Hadadi und Shidhani (2013) bringen zu Tage, dass mehr als 50% aller User keine Ahnung haben, was sie tun, wenn sie einem Update zustimmen oder einer Applikation Zugriff auf bestimmte Daten gewähren.
- User Confidence: Das Selbstvertrauen der User wird bestärkt durch Empfehlungen durch Familie oder Freunde. Laut Al-Hadadi und Shidhani (2013) stellen User keine Fragen mehr bezüglich Sicherheitsbedenken, wenn sie die Empfehlung von einem be- kannten Menschen erhalten haben.
Die drei dargelegten Faktoren geben Aufschluss darüber wie sehr sie sich dem Thema Daten- schutz und seinen Folgen widmen. Die Studie von Al-Hadadi und Shidhani (2013) hat ergeben, dass für User auch durch andere Einrichtungen (Regierungen, Hersteller, etc.) noch Potential zu einer Erhöhung des Bewusstseins für Datenschutz besteht.
Andere Einflussfaktoren können den Psychologischen Bedürfnissen entnommen werden, diese basieren auf der Bedürfnispyramide von Maslow (1970). Eine simple Erklärung für menschli- ches Verhalten im Bereich des Datenschutzes kann beispielsweise aus dem Bedürfnis der Au- tonomie abgeleitet werden (Kraus, Wechsung, & Möller, 2017). Die Erfüllung dieser Bedürf- nisse spielt für Menschen eine übergeordnete Rolle, daher werden sie ständig versuchen dieses Bedürfnis nach Autonomie zu erfüllen (Hassenzahl, 2010). Veranschaulicht kann die Erfüllung der Bedürfnisse an den folgenden Beispielen werden:
- Verwendung der Sicherheitseinstellungen von WhatsApp (Rashidi & Vaniea, 2015)
- User sorgen sich um die physische Unversehrtheit ihrer Geräte (Chin, Felt, Sekar, & Wagner, 2012)
- Angst vor Datendiebstahl durch fehlerhafte Backups, Malware, schlechter Batteriele- bensdauer, etc. (Chin et al., 2012)
Das Ergebnis einer von Kraus et al. (2017) durchgeführten Studie brachte zum Ausdruck das die Erfüllung des Autonomiebedürfnisses (Kontrolle über die eigenen Sicherheitseinstellungen) eine besondere Rolle in der Vorbeugung von Unsicherheiten und Gefahren im Zusammenhang mit Datenschutz spielt.
Abschließend können auch Ängste vor Gefahren als Gründe für erhöhtes Datenschutzbewusst- sein herangezogen werden. Diese Ängste sind auf physische Gefahren oder Risiko durch Soft- ware zu verstehen (Altuwaijri & Ghouzali, 2018). Die nachfolgende Abbildung veranschaulicht anhand eines Überblicks in beiden Kategorien die einzelnen Gefahren für User.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung II - Adaptierte Version des Gefahren Modells 3 von Altuwaijri und Ghouzali (2018)
3.3. Aktuelle Schutzmaßnahmen für Daten auf mobilen Endgeräten
Smartphones sind, wie bereits erklärt, der Mittelpunkt unseres täglichen Lebens geworden, dank diesem Umstand haben die Menschen weltweit eine breite Auswahl an verschiedenen Geräten und Betriebssystemen. Die größten unter ihnen sind zweifelsohne Apple mit iOS und Google mit Android, diese haben jeweils 14% bzw. 85,9% Marktanteil (Gartner, 2018). Andere Hersteller wie Microsoft mit Windows oder Blackberry sind laut aktuellster Zahlen nicht mehr existent, alle anderen Hersteller und Betriebssysteme teilen sich auf 0,1% des weltweiten Mark- tes für Smartphone-Betriebssysteme auf (Gartner, 2018).
Zwei große Anbieter für Betriebssysteme haben sich auf einem umkämpften Markt etablieren können, diese beiden Betriebssysteme unterscheiden sich jedoch grundlegend, was die mögli- chen Schutzmaßnahmen betrifft. Das Kernelement eines erfolgreichen Schutzmechanismus ist der Screen-Lock4 (Schlöglhofer & Sametinger, 2012).
Laut Schlöglhofer und Sametinger (2012) sind auf beiden Systemen am weitesten verbreitet die klassischen Pin-Codes. Andere Methoden wären graphische Unlock-Maßnahmen, wie Android sie seinen Usern bietet, oder aber es kommen herkömmliche Passwörter zum Einsatz.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung III - Pin Eingabe unter iOS (Apple Inc., 2018b)
Abbildung in dieser Leseprobe nicht enthalten
Abbildung IV - Grafische Authentika- tion unter Android (Marcel, 2013)
Abbildung in dieser Leseprobe nicht enthalten
Abbildung V – Slide-To-Unlock unter iOS (Clover, 2013)
Hersteller moderner Smartphones ermöglichen ihren Usern eine freie, sehr umfangreiche Aus- wahl an verschiedenen Schutzmechanismen, dennoch entscheiden sich rund 50% gegen den Einsatz von Screen-Lock Maßnahmen. Im Rahmen einer umfassenden Studie können Sari, Rat- nasari, und Prasetio (2016) aufzeigen, dass vor allem Bedienfreundlichkeit und Schwierigkeit solcher Maßnahmen dazu beitragen, dass sich User gegen den Einsatz von Sicherheitsmecha- nismen entscheiden. Viele User geben weiter an, dass es zu zeitaufwendig ist Pins oder Pass- wörter einzugeben, aus diesem Grund sind graphische Maßnahmen beliebter und werden von Usern bevorzugt. Ben-Asher et al. (2011) erklären in ihrer Arbeit, dass die einfachsten Wisch- gesten (meist ein Wischen von links nach rechts) am beliebtesten bei den Usern sind, bei diesen wird jedoch ohne Sicherheitsvorkehrungen der Bildschirm entsperrt. Dieses Faktum macht sie gleichsam auch zur Unsichersten Form der Entsperrung und ermöglicht jedem Zugriff auf das Smartphone und die persönlichen Daten. Diese Trägheit im Verhalten der User hat auch viele Hersteller dazu motiviert in Zukunft auf biometrische Verfahren zum Schutz von Daten zu set- zen (siehe Kapitel 5).
4. Heutige Technologien zum Schutz von Daten
Dieses Kapitel soll einen Überblick über heute eingesetzte Technologien geben, diese Techno- logien unterteilen sich in zwei wesentliche Themenbereiche. Zum einen um Authentifizierungs- technologien und zum anderen Verschlüsselungstechnologien von Daten. Komplettiert wird der Inhalt durch Vergleich neuer Smartphones hinsichtlich Technologien und Verschlüsselungs- methoden.
4.1. Authentifikationstechnologien
In den vorangegangenen Kapiteln findet sich bereits ein grober Überblick über die Vorstellung von Usern bezüglich Datenschutzes und Sicherheit auf Smartphones. In diesem Teil liegt der Fokus auf der passenden Authentifikation für den Schutz von Daten.
Grundlegend kann gesagt werden, dass sich in der heutigen Literatur viele verschiedene Au- thentifizierungstechnologien widerfinden. Beispiele hierfür wären One-Time Authentifikati- onstechnologien (Passwörter, die lediglich einmal verwendet werden) wie sie Triandopoulus et al. (2013) entwickelt hat. Andere Definitionen finden sich auch bei Crouse, Han, Chandra, Bar- bello, und A. Jain (2015) oder Feng et al. (2012), diese beiden Autoren beschreiben Termino- logien für kontinuierliche Authentifikation. Die Vielzahl an Terminologien und unterschiedli- chen Definitionen von Authentifizierung lassen sich dennoch auf drei dominante Technologien herunterbrechen. Schneider (2005) schreibt in ihrer Arbeit, dass diese Technologien ihren Fo- kus auf „something you know“, „something you have“ oder “something you are” legen. Die folgende Abbildung illustriert diese drei Authentifizierungstechnologien.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung VI - Adaptierte Darstellung von Wegen zur menschlichen Authentifikation von Gupta, Buriro, und Crispo (2018)
Nachfolgend werden die unterschiedlichen Arten der Authentifikation näher beschrieben und definiert:
- Something you know
Bei dieser Form der Authentifizierung handelt es sich um eine gedächtnisbasierte Authenti- fikationstechnologie. Diese Form der Authentifikation umfasst Pins, Passwörter und grafi- sche Methoden. Beschreibungen und exemplarische Beispiele sind in Teilen von Kapitel 3.3 dieser Arbeit zu finden. Kern dieser Authentifikationstechnologie ist das Wissen des Users über seine Informationen zur sicheren Verwendung seines Smartphones (Passwörter, Pins, etc.) (Gupta et al., 2018)
- Something you have
Diese Authentifizierungsform wird oftmals auch als Tokengestützte Authentifikation be- zeichnet. Token sind zusätzliche Codes, die von Usern verwendet werden um die Authenti- fikation sicherer zu gestalten (2-Faktor-Authentifizierung5 ). Token können auf verschiedene Arten generiert werden, heute üblich sind das Übermitteln mittels SMS, die Verwendung eines Gerätes oder einer App für die Generierung. Eingesetzt wird die 2-Faktor-Authentifi- zierung in vielen Bereichen des täglichen Alltags, von Telebanking bis hin zu Online-Shop- ping (Gupta et al., 2018).
- Something you are
Kernelement dieser Authentifikation ist die individuelle Biometrie der User. Hierbei wird zwischen physischen Eigenschaften und Verhaltensmustern unterschieden (Gupta et al., 2018).
Die nachfolgende Tabelle gibt einen Überblick über die verschiedenen Eigenschaften bzw. Verhaltensmustern.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung VII - Adaptierte Darstellung von biometrischen Eigenschaften zur Authentifikation von Gupta et al. (2018)
[...]
1 LTE – Long Term Evolution oder 4G
2 5G Mobilfunktechnologien richten sich in erster Linie an die Industrie, diese ermöglichen Echtzeit -Monitoring von autonom fahrenden Autos, welche eine hohe Gebietsabdeckung benötigen
3 Detailierte Beschreibungen zu den einzelnen Gefahren des Modells sind Teil des Appendix
4 Der Screen-Lock ist das zentrale Element des Smartphones, bevor man den eigentlichen Zugriff auf die Daten am Gerät erhält
5 Bei 2-Faktor Authentifizierung handelt es sich um eine 2-stufige Authentifikation mittels Passwortes oder Pin und zusätzlich einem One-Time Passwort oder Pin